Um ataque DDoS derruba o WordPress afogando o servidor com tráfego falso até ele parar de responder. Segundo o Cloudflare Radar (2026), o DDoS responde por 82,4% dos ataques de camada de aplicação no Brasil. A defesa real fica na borda, antes do PHP. CDN com Anycast e um WAF absorvem o volume e filtram a requisicao maliciosa.

Um ataque DDoS (Distributed Denial of Service) é uma investida que usa milhares de máquinas para enviar requisicoes simultâneas e esgotar a banda ou os recursos do servidor. No WordPress, o alvo costuma ser o wp-login.php, o xmlrpc.php ou a página inicial, porque cada acesso acorda o PHP e o banco. O objetivo não é roubar dados, é deixar o site fora do ar. A defesa contra um ataque DDoS começa na borda da rede, e não dentro do painel. Quem cuida de segurança no WordPress trata DDoS como problema de infraestrutura, não de plugin.

O que é um ataque DDoS em WordPress: Definição operacional

Um ataque DDoS em WordPress é a tentativa coordenada de tornar o site indisponível enviando, de milhares de IPs ao mesmo tempo, mais requisicoes do que o servidor aguenta processar. Numa investida típica, uma botnet com 10 mil a 50 mil dispositivos infectados dispara acessos contra a mesma URL por minutos ou horas. O servidor responde com erro 503 ou 522 e o site sai do ar.

A tabela abaixo separa o ataque DDoS dos outros incidentes que as pessoas confundem com ele, porque a resposta técnica para cada um é diferente.

A distincao entre forca bruta e ataque DDoS importa: a forca bruta tenta entrar, o DDoS só quer derrubar. Detalhamos a defesa de login no guia sobre ataques de forca bruta no WordPress.

Os 3 tipos de ataque DDoS que atingem o WordPress

Existem 3 tipos de ataque DDoS, e eles se diferenciam pela camada da rede que atacam: volumétrico, de protocolo e de camada 7. O volumétrico satura a banda com dezenas de gigabits por segundo de tráfego bruto, como floods UDP e amplificacao DNS. O de protocolo abusa do aperto de mão TCP com SYN floods, esgotando a tabela de conexões. O de camada 7 é o mais perigoso para WordPress.

O ataque DDoS de camada 7 imita um visitante real e faz requisicoes HTTP legítimas contra páginas pesadas. Poucas centenas de requisicoes por segundo contra o wp-login.php já derrubam um site, porque cada acesso aciona o PHP-FPM e uma consulta ao MySQL. Não é o volume de banda que mata, é o custo de processamento por requisicao. Por isso bloquear no plugin raramente resolve: a requisicao já chegou ao servidor de origem antes de qualquer regra do WordPress rodar.

Como reconhecer um ataque DDoS: 5 sinais no servidor

Os 5 sinais mais confiáveis de um ataque DDoS aparecem antes de o site cair de vez: pico de CPU travado em 100%, erros 503 e 522 em série, lentidao súbita sem campanha de tráfego, milhares de acessos do mesmo conjunto de IPs e um salto de requisicoes ao xmlrpc.php. Em VPS abaixo de 2 GB de RAM rodando WooCommerce, a gente vê no suporte da FULL que esse padrão surge sem aviso e o painel fica inacessível em minutos.

A confusao clássica é tratar o sintoma como falta de cache. Um ataque DDoS de camada 7 contra wp-login.php ignora o cache de página, porque o login nunca é cacheado. O servidor processa cada tentativa do zero. Quem só liga o cache de página acha que resolveu e continua exposto. A leitura correta do log de acesso, filtrando por IP e por URL repetida, separa o pico de tráfego legítimo da investida coordenada em poucos minutos.

Por que o WordPress é alvo frequente de ataque DDoS

O WordPress é alvo frequente de ataque DDoS por um motivo de escala: ele roda boa parte dos sites da web, e dois arquivos seus, o xmlrpc.php e o wp-login.php, são endpoints públicos e custosos. O xmlrpc.php, em especial, aceita chamadas em lote pelo método system.multicall, o que permite multiplicar o efeito de cada requisicao. Uma única chamada pode disparar dezenas de operacoes internas.

Plugins desatualizados ampliam a superfície. Um CVE real ilustra o risco do ecossistema: a falha CVE-2023-48777 no Elementor, com CVSS 9.9, afetou versões anteriores à 3.18.2 e já foi corrigida pelo patch. Não é um vetor de DDoS direto, mas mostra como um único componente vulnerável vira porta de entrada. A FULL é a única empresa brasileira credenciada como CNA (CVE Numbering Authority) sob a CISA desde maio de 2022, o que significa que quem escreve este conteúdo sobre vulnerabilidade literalmente cataloga CVE oficial. Esse perfil de risco por plugin está documentado no nosso guia de plugins de segurança.

Como se proteger de um ataque DDoS em 4 camadas

A proteção contra ataque DDoS funciona em 4 camadas, da borda da rede para dentro do WordPress, e a ordem importa. A primeira camada é o CDN com rede Anycast, que distribui a requisicao por dezenas de data centers e absorve volume antes de tocar no seu servidor. A segunda é o WAF (Web Application Firewall), que filtra a requisicao maliciosa por regra, como o ModSecurity ou o firewall do Cloudflare. Esconder o IP real de origem atrás do CDN tende a ser mais decisivo que qualquer ajuste no plugin.

A terceira camada é o firewall de aplicação dentro do WordPress, papel do All in One Security ou do Wordfence, que detecta padroes e limita o xmlrpc.php. A quarta é o hardening do servidor: limite de conexões por IP no Nginx e pool do PHP-FPM dimensionado. Ferramentas como Cloudflare, Sucuri, All in One Security e Wordfence cobrem camadas diferentes. Para detalhes de configuração do firewall do WordPress, vale revisar o tutorial do All in One Security e o guia de configuração de CDN.

Legenda: o ataque DDoS é absorvido na borda pelo CDN e pelo WAF, antes de chegar ao PHP do servidor de origem.

O papel do CDN e do firewall na mitigacao

O CDN e o firewall mitigam o ataque DDoS porque agem antes do WordPress, e os dados de campo confirmam onde está o risco. Segundo o Cloudflare Radar, nos últimos 28 dias o DDoS concentrou 82,4% dos ataques de camada de aplicação no Brasil, contra 16,4% mitigados por regra de WAF. O número justifica investir primeiro na borda: é lá que a maior fatia da ameaca é absorvida.

O firewall de aplicação, por sua vez, tende a resolver a parcela que passa pela borda, sobretudo o flood contra xmlrpc.php e wp-login.php. A relacao causal é direta: um ataque DDoS de camada 7 contra o wp-login.php, sem WAF na frente e com PHP-FPM de pool pequeno, esgota os workers e devolve erro 503 com a CPU em 100%. Adicionar cabeçalhos de segurança também reduz a superfície, como mostramos no guia de cabeçalhos de segurança HTTP no WordPress. Para validar a proteçao, o FULL Scan verifica gratuitamente se algum plugin do site está vulnerável.

Quanto a proteção contra DDoS custa no bundle da FULL

A proteção em camadas contra ataque DDoS não precisa custar uma assinatura avulsa por ferramenta. No plano PRO da FULL, por R$849 ao ano para até 10 sites, o que dá R$85 por site, entra o All in One Security para o firewall de aplicação, junto de outros 16 plugins premium ativados em 1 clique. A gente vê no suporte que o atrito de configurar WAF, CDN e firewall separados é o que mais deixa site exposto. Centralizar isso reduz a janela de exposicao. Os detalhes de cada plano estão em FULL.services/planos.

Perguntas frequentes sobre ataque DDoS em WordPress

Próximos passos para blindar seu WordPress contra DDoS

Entender o ataque DDoS é o primeiro passo; agir na ordem certa é o que mantém o site no ar. Comece pela borda, com CDN e WAF, depois reforce o firewall de aplicação e o hardening do servidor. Rode um diagnóstico com o FULL Scan para mapear plugins vulneráveis antes que virem porta de entrada. Para aprofundar a defesa completa, o passo a passo de como proteger o WordPress contra forca bruta cobre o login, e a FULL Academy reúne os guias de segurança em um só lugar. Defesa de DDoS é arquitetura, não plugin avulso.